Informazioni sul flusso di posta per la protezione posta indesiderata e antivirus
Si applica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Ultima modifica dell'argomento: 2016-11-28
Se un utente esterno invia messaggi di posta elettronica a un server che esegue Microsoft Exchange e le funzionalità di protezione da posta indesiderata, verranno valutate le caratteristiche dei messaggi in ingresso e verranno filtrati i messaggi che si presume siano posta indesiderata o verrà assegnato un livello di sicurezza ai messaggi in base alla probabilità che siano posta indesiderata. Questo livello di sicurezza viene archiviato con il messaggio come una proprietà del messaggio denominata livello di probabilità di posta indesiderata (SCL). Il livello assegnato viene conservato con il messaggio quando questo viene inviato ad altri server Exchange.
Nella figura seguente viene mostrato l'ordine in cui le funzionalità di protezione da posta indesiderata predefinite e Microsoft Forefront Protection for Exchange Server filtrano i messaggi in ingresso da Internet. Per impostazione predefinita, le funzionalità di protezione da posta indesiderata e antivirus sono disposte in questo ordine, ovvero prima i filtri che utilizzano il minor numero di risorse, quindi i filtri che utilizzano il maggior numero di risorse.
Nota
Nelle seguenti figure e relative descrizioni si suppone che il server Trasporto Edge di Microsoft Exchange Server 2010 sia il primo server SMTP che accetta i messaggi in ingresso. In alcune organizzazioni, il server Trasporto Edge potrebbe essere distribuito dietro un server SMTP di terze parti. Se il server Trasporto Edge di Exchange 2010 viene distribuito dietro un server Gateway SMTP di terze parti, è necessaria un'altra configurazione del server Trasporto Edge di Exchange 2010. In modo specifico, è necessario assicurarsi che tutti i server gateway SMTP siano elencati nella proprietà InternalSMTPServer dell'oggetto TransportConfig. Per ulteriori informazioni, vedere Set-TransportConfig.
Per ulteriori informazioni su altre funzionalità per la protezione da posta indesiderata e antivirus di Exchange, vedere Microsoft Forefront Protection 2010 for Exchange Server.
Funzionalità di protezione da posta indesiderata predefinite con filtro antivirus per i messaggi in ingresso da Internet
Come mostrato nella figura precedente, quando un server SMTP si connette a Exchange 2010 e avvia una sessione SMTP, i filtri vengono applicati nel seguente ordine quando il server Trasporto Edge è connesso a Internet:
Filtro connessioni
Filtro mittente
Filtro destinatari
Filtro dell'ID mittente
Filtro contenuto
Filtro reputazione mittente
Filtro degli allegati
Ricerca dei virus
Filtro della posta indesiderata di Outlook
Nota
Il filtro connessioni raccoglie le informazioni durante i due eventi. Nel primo evento, il filtro connessioni raccoglie le informazioni sugli indirizzi IP dalla connessione (come mostrato nella figura precedente). Nel secondo evento, il filtro connessioni raccoglie informazioni quando l'agente filtro mittente analizza le intestazioni del messaggio per determinare il primo indirizzo IP esterno (come mostrato nella figura di "Filtro mittente" più avanti in questo argomento). Gli agenti possono monitorare più eventi. Nella figura precedente viene illustrata in dettaglio l'ordine approssimativo in cui vengono applicati gli agenti, quando questi sono tutti abilitati, allo scopo di illustrare il flusso di messaggi. Per ulteriori informazioni su eventi specifici e su quali agenti eseguono il monitoraggio degli eventi, vedere Informazioni sugli agenti di trasporto.
Per informazioni sulle attività di gestione relative alla funzionalità di protezione da posta indesiderata e antivirus, vedere Gestione delle funzionalità protezione da posta indesiderata e antivirus.
Sommario
Filtro connessioni
Filtro mittente
Filtri destinatario
Filtro ID mittente
Filtro contenuto
Filtro reputazione mittente
Applicazione del filtro agli allegati
Ricerca dei virus
Filtro della posta elettronica indesiderata di Outlook
Filtro connessioni
Durante la sessione SMTP, Exchange 2010 applica il filtro connessioni utilizzando i criteri illustrati nella figura seguente.
Flusso di posta del filtro connessioni
Il seguente processo viene applicato come segue:
L'agente filtro connessioni esamina l'elenco indirizzi IP consentiti definito dall'amministratore. Se l'indirizzo IP del server di invio si trova nell'elenco indirizzi IP consenti definito dall'amministratore, il messaggio viene elaborato dal filtro mittente.
L'agente filtro connessioni esamina l'elenco indirizzi IP bloccati locale. Se l'indirizzo IP del server di invio è presente nell'elenco indirizzi IP bloccati locale, il messaggio viene automaticamente rifiutato e non viene applicato alcun altro filtro.
L'agente filtro connessioni esamina l'elenco degli indirizzi IP consentiti da tutti i provider dell'elenco indirizzi IP consentiti di cui si dispone. Se l'indirizzo IP del server di invio si trova nell'elenco degli indirizzi IP consenti dai provider dell'elenco, il messaggio viene elaborato dal filtro mittente.
L'agente Filtro connessioni esamina gli elenchi indirizzi bloccati in tempo reale di tutti i provider degli elenchi configurati. Se l'indirizzo IP del server di invio si trova in un elenco di indirizzi bloccati in tempo reale, il messaggio viene rifiutato e non vengono applicati altri filtri.
Per ulteriori informazioni, vedere Informazioni sul filtro connessioni.
Nota
Se l'agente filtro connessioni viene distribuito su un computer che si trova dietro a un altro server connesso a Internet, vengono richiamati altri filtri, quali il filtro mittente e il filtro destinatario, prima dell'agente filtro connessioni.
Inizio pagina
Filtro mittente
Una volta applicato il filtro connessioni, Exchange 2010 esamina l'indirizzo di posta elettronica del mittente in base all'elenco dei mittenti bloccati configurato nel filtro mittente, come illustrato nella figura seguente.
Flusso di posta del filtro mittente
L'agente filtro mittente controlla l'indirizzo di posta elettronica del mittente contenuto nei campi Da nella busta e nell'intestazione del messaggio. Se il campo Da corrisponde all'indirizzo dell'elenco dei mittenti bloccati, Exchange 2010 rifiuta il messaggio a livello di protocollo e non vengono applicati altri filtri.
Nota
Anche se i destinatari dell'organizzazione hanno inserito i mittenti nell'elenco Mittenti attendibili di Microsoft Outlook, il filtro mittente sul server Trasporto Edge ignorerà l'impostazione di Outlook del destinatario e rifiuterà i messaggi.
Per ulteriori informazioni sul filtro mittente, vedere Informazioni sul filtro mittente.
Per ulteriori informazioni sulle buste e sulle intestazioni dei messaggi, vedere Informazioni sulle directory di prelievo e di riesecuzione.
Inizio pagina
Filtri destinatario
Se il filtro mittente non rifiuta il messaggio, Exchange esegue di nuovo il filtro connessioni. Exchange applica quindi l'agente filtro destinatario come mostrato nella figura seguente.
Flusso di posta del filtro destinatario
L'agente Filtro destinatario esamina il destinatario in base all'elenco dei destinatari bloccati configurato nelle impostazioni dell'agente Filtro destinatario. Se il destinatario corrisponde a un indirizzo di posta elettronica presente nell'elenco destinatari bloccati, Exchange 2010 rifiuta il messaggio per quel particolare destinatario. Inoltre, l'agente filtro destinatario controlla se il destinatario è presente nell'organizzazione. Se il destinatario non è presente nell'organizzazione, Exchange rifiuta il messaggio per quel particolare destinatario.
Se nel messaggio vengono elencati più destinatari e nessuno di essi si trova nell'elenco destinatari bloccati, l'elaborazione del messaggio proseguirà. In caso contrario, se il messaggio è indirizzato per un solo destinatario bloccato, non viene applicato nessun altro filtro.
Quando viene elaborato un messaggio con destinatari bloccati, l'insieme dei destinatari bloccati viene rimosso dal messaggio e il messaggio procede nell'organizzazione. Le risposte di rifiuto di SMTP a livello di protocollo vengono inviate al mittente per ciascun destinatario bloccato. L'agente Reputazione mittente esegue il monitoraggio dell'evento OnReject per calcolare il livello di reputazione del mittente (SRL).
Per ulteriori informazioni, vedere Informazioni su Filtro destinatario.
Inizio pagina
Filtro ID mittente
Se il messaggio contiene ancora destinatari validi dopo l'applicazione del filtro destinatario, Exchange 2010 esegue l'agente ID mittente come illustrato nella figura seguente.
Flusso di posta del filtro ID mittente
In primo luogo, l'agente ID mittente determina il PRA (Purported Responsible Address) del messaggio utilizzando l'algoritmo descritto in RFC 4407. Questo passo è necessario per identificare in modo preciso il mittente del messaggio. Il PRA indica un indirizzo SMTP, come kim@contoso.com. Quindi, l'agente ID mittente esegue una ricerca DNS (Domain Name Service) in base alla parte di dominio del PRA. Se il dominio ha pubblicato un record SPF (Sender Policy Framework), l'agente utilizza il record SPF per valutare il messaggio in base alla specifica RFC 4408. Il risultato della valutazione viene inserito nel messaggio nell'indicatore di protezione della posta indesiderata. Se quel dominio non dispone di un record SPF pubblicato, l'agente ID mittente inserisce nel messaggio il risultato "Nessuno" per l'ID mittente. Per ulteriori informazioni sui tipi di indicatori utilizzati per il filtro dell'ID mittente, vedere Informazioni sui contrassegni filtro posta indesiderata.
Se il DNS del mittente proviene da un dominio o da un indirizzo bloccato, sono riportate di seguito alcune azioni che è possibile eseguire in base alla configurazione delle azioni dell'ID mittente:
Rifiuta messaggio Se l'azione dell'ID mittente viene impostata su Rifiuta messaggio, Exchange rifiuta il messaggio e invia una risposta di errore SMTP al server di invio. La risposta di errore SMTP è una risposta di protocollo di livello 5xx in cui il testo è lo stato dell'ID mittente.
Elimina messaggio Se l'azione dell'ID mittente viene impostata su Elimina messaggio, Exchange elimina il messaggio senza informare il server di invio dell'eliminazione. Il computer su cui è installato il ruolo del server Trasporto Edge invia un comando SMTP "OK" fittizio al server di invio ed elimina il messaggio. Poiché presuppone che il messaggio sia stato inviato, il server di invio non ripete l'invio del messaggio nella stessa sessione.
Contrassegna messaggio con risultato ID mittente e continua l'elaborazione Exchange contrassegna il messaggio con il risultato dell'ID mittente e ne continua l'elaborazione. Questi metadati vengono analizzati dall'agente filtro contenuto quando viene calcolato il livello di probabilità di posta indesiderata. Inoltre, la reputazione mittente utilizza i metadati del messaggio per calcolare il livello di reputazione del mittente del messaggio.
Per ulteriori informazioni, vedere Informazioni sull'ID mittente.
Inizio pagina
Filtro contenuto
Prima che il filtro contenuto di Exchange richiami il Filtro messaggi intelligente di Exchange, viene applicato di nuovo il filtro mittente. Il server Exchange applica quindi l'agente filtro contenuto come illustrato nella figura seguente.
Flusso di messaggi del filtro contenuto
L'agente filtro contenuto controlla le seguenti condizioni nel messaggio. Se una delle condizioni è vera, il messaggio ignora il filtro contenuto e il filtro allegati. Questi messaggi vengono quindi sottoposti alla scansione antivirus per l'elaborazione. Vengono controllate le seguenti condizioni:
L'indirizzo IP del mittente si trova nell'elenco indirizzi IP consentiti del filtro connessioni.
Tutti i destinatari si trovano nell'elenco delle eccezioni del filtro dei contenuti.
Il parametro AntiSpamBypassEnabled è impostato su
$Truein tutte le cassette postali dei destinatari.Tutti i destinatari hanno aggiunto questo mittente all'elenco Mittenti attendibili di Outlook, che viene aggiornato sul server Trasporto Edge utilizzando l'aggregazione dell'elenco indirizzi attendibili.
Il mittente costituisce un partner attendibile ed è inserito nell'elenco dei mittenti dell'organizzazione che non vengono filtrati.
Oltre alle condizioni elencate, se la sessione SMTP è stata autenticata come partner attendibile e se l'amministratore ha concesso l'autorizzazione Ignora anti-spam (Ms-Exch-Bypass-Anti-Spam) ai partner, gli agenti di protezione da posta indesiderata verranno disabilitati per i messaggi durante questa sessione. L'autorizzazione Ignora anti-spam non viene concessa ai partner per impostazione predefinita e deve essere assegnata da un amministratore.
Se un messaggio non soddisfa nessuna delle condizioni descritte, viene applicato il filtro contenuto. Il filtro contenuto assegna un livello SCL al messaggio. In base a tale livello, si verifica una delle seguenti azioni:
Se il livello SCL del messaggio è maggiore o uguale alla soglia di eliminazione SCL e la soglia è abilitata, l'agente filtro contenuto elimina il messaggio. Non sono previste comunicazioni al livello del protocollo per notificare al sistema mittente o al mittente che il messaggio è stato eliminato. Se il livello SCL è inferiore al valore della soglia di eliminazione SCL, l'agente filtro contenuto non elimina il messaggio. L'agente filtro contenuto, invece, confronta il valore SCL e la soglia di rifiuto SCL.
Se il livello SCL del messaggio è maggiore o uguale alla soglia di rifiuto SCL e la soglia è abilitata, l'agente filtro contenuto elimina il messaggio e invia una risposta di rifiuto al sistema di invio. La risposta di rifiuto può essere personalizzata. In alcuni casi, viene inviato un rapporto di mancato recapito (NDR, non-delivery report) al mittente originale del messaggio. Se il livello SCL è inferiore al valore della soglia di rifiuto SCL, l'agente filtro contenuto non elimina il messaggio. L'agente filtro contenuto, invece, confronta il valore SCL e la soglia di quarantena SCL.
Se il livello SCL del messaggio è maggiore o uguale alla soglia di quarantena SCL e la soglia è abilitata, l'agente filtro contenuto invia il messaggio alla cassetta postale per la quarantena della posta indesiderata. Per ulteriori informazioni sulla gestione della cassetta postale per la quarantena della posta indesiderata, vedere Informazioni sul filtro contenuti. Al messaggio verrà quindi applicato il filtro degli allegati.
Per ulteriori informazioni, vedere i seguenti argomenti:
Inizio pagina
Filtro reputazione mittente
Una volta applicato il filtro contenuto, Exchange applica il filtro reputazione mittente come illustrato nella figura seguente.
Flusso messaggi reputazione mittente
La reputazione mittente valuta ciascuna di queste statistiche dei messaggi e calcola il livello di reputazione di ciascun mittente:
Analisi HELO/EHLO
Ricerca DNS inversa
Analisi dei valori di classificazione SCL nei messaggi provenienti da un mittente specifico
Test proxy aperto mittente
Il livello reputazione mittente è un numero compreso tra 0 e 9 che indica la probabilità che uno specifico mittente sia uno spammer o un utente malintenzionato. Il valore 0 indica che il mittente probabilmente non è uno spammer, mentre il valore 9 indica che il mittente probabilmente è uno spammer.
È possibile configurare una soglia di blocco tra 0 e 9 in corrispondenza del quale la reputazione mittente invia una richiesta all'agente Filtro mittente per impedire al mittente di inviare messaggi nell'organizzazione. Quando un mittente è bloccato viene aggiunto all'elenco dei mittenti bloccati per un periodo di tempo configurabile. La gestione dei messaggi bloccati dipende dalla configurazione dell'agente Filtro mittente. Le seguenti azioni rappresentano le opzioni di gestione per i messaggi bloccati:
Rifiuta
Elimina e archivia
Accetta e segna come mittente bloccato
Se un mittente viene incluso nell'elenco degli indirizzi IP bloccati o nel servizio reputazione IP di Microsoft, l'agente Reputazione mittente invia una richiesta immediata all'agente Filtro mittente per bloccarlo. Per sfruttare al meglio questa funzionalità, è necessario abilitare e configurare il servizio di aggiornamento della protezione da posta indesiderata di Microsoft Exchange.
Per impostazione predefinita, il server Trasporto Edge imposta un valore di classificazione 0 per i mittenti che non sono stati analizzati. Appena il mittente ha inviato 20 o più messaggi, la reputazione mittente calcola un livello di reputazione mittente in base alle statistiche elencate in precedenza.
Per ulteriori informazioni, vedere gli argomenti seguenti:
Inizio pagina
Applicazione del filtro agli allegati
Dopo aver applicato il filtro reputazione mittente, Exchange applica il filtro allegati come illustrato nella figura seguente.
Flusso di posta del filtro allegati
È possibile configurare il filtro degli allegati per bloccare gli allegati in base al tipo di contenuto MIME, al nome del file o all'estensione del nome file. Se il filtro allegati rileva un tipo di contenuto o un nome file bloccato, si verificherà una delle seguenti azioni in base alle impostazioni del filtro degli allegati:
Rifiuta Se l'azione è impostata su Rifiuta, non sarà consentito il recapito al destinatario sia del messaggio di posta elettronica che dell'allegato e il sistema invia al mittente un messaggio di errore DSN. La risposta di rifiuto può essere personalizzata.
Elimina automaticamente Se l'azione è impostata su Elimina automaticamente, non sarà consentito il recapito al destinatario sia del messaggio di posta elettronica che dell'allegato. Al mittente non viene restituita alcuna notifica del blocco del messaggio di posta elettronica e dell'allegato.
Rimuovi Se l'azione è impostata su Rimuovi, l'allegato viene rimosso dal messaggio di posta elettronica. Questo valore consente di recapitare al destinatario il messaggio e altri allegati che non corrispondono a una voce dell'elenco degli allegati bloccati. Al messaggio di posta elettronica del destinatario viene aggiunta la notifica del blocco dell'allegato.
Se il messaggio non è stato rifiutato o eliminato o se il filtro allegati non ha rilevato tipi di allegati bloccati, il messaggio viene sottoposto alla scansione antivirus.
Per ulteriori informazioni, vedere Configurazione del filtro degli allegati.
Inizio pagina
Ricerca dei virus
Dopo aver applicato il filtro allegati o se i destinatari sono stati ignorati dal filtro contenuto, viene applicata la scansione antivirus di Forefront Protection for Exchange Server come mostrato nella figura seguente.
Flusso di posta della scansione antivirus di Forefront Protection for Exchange Server
Forefront Protection for Exchange Server è un pacchetto di software antivirus strettamente integrato con Exchange 2010 e offre una protezione antivirus ulteriore per l'ambiente di Exchange. Quando Forefront Protection for Exchange Server rileva i messaggi che potrebbero contenere un virus, il messaggio viene eliminato e viene generato un messaggio di notifica che verrà inviato alla cassetta postale del destinatario.
Per ulteriori informazioni, vedere Microsoft Forefront Protection 2010 for Exchange Server.
Inizio pagina
Filtro della posta elettronica indesiderata di Outlook
Una volta applicati tutti i filtri e sottoposto il messaggio alla scansione antivirus, il messaggio viene inviato alla cassetta postale del destinatario desiderato e viene applicato il filtro della posta elettronica indesiderata come illustrato nella figura seguente.
Flusso di posta del filtro per la posta elettronica indesiderata di Outlook
Se il livello SCL del messaggio è maggiore o uguale alla soglia della cartella Posta indesiderata SCL e la soglia è abilitata, il server Cassette postali inserisce il messaggio nella cartella Posta indesiderata dell'utente di Outlook. Se il valore SCL di un messaggio è inferiore ai valori della soglia di eliminazione, rifiuto, quarantena e della cartella Posta indesiderata SCL, il server Cassette postale inserisce il messaggio nella Posta in arrivo dell'utente. Per ulteriori informazioni sulle soglie SCL, vedere Informazioni sulla soglia livello di probabilità di posta indesiderata.
Inizio pagina
©2010 Microsoft Corporation. Tutti i diritti riservati.